Circulaire DHOS/E 3 n° 2004-187 du 22 avril 2004 relative à l'organisation
des droits d'accès à la plate-forme de service e-PMSI

NOR : SANH0430187C

(Texte non paru au Journal officiel)

Mesdames et Messieurs les directeurs des agences régionales de l'hospitalisation (pour mise en oeuvre) ; Mesdames et Messieurs les directeurs d'établissement de santé La mise en place de la tarification à l'activité entraîne un doublement du flux et de la quantité des informations PMSI traitées par les ARH et par les établissements. Afin de réaliser les traitements de ces données avec la nécessaire transparence liée à leur nouvelle utilisation, un système de télétransmission des fichiers PMSI sera mis en place au cours du deuxième trimestre 2004. Il a pour objectifs de moderniser et de faciliter la gestion et le traitement des flux tant pour les services chargés de la tutelle que pour les établissements de santé.
Outre la télétransmission des fichiers, le réseau e-PMSI permet :

Ce système est donc une plate-forme de services permettant non seulement de transmettre, via le réseau Internet sécurisé, les fichiers jusqu'à présent transmis par disquette, mais également de réaliser les traitements de ces fichiers de manière automatique. Ces traitements correspondent à ceux réalisés antérieurement par l'application MAHOS, revus dans le cadre de la tarification à l'activité (MAT2A). Un guide explicitant les traitements MAT2A sera mis à disposition des établissements.
L'organisation proposée, conforme au dispositif actuel des remontées de données PMSI, est basée sur un système hiérarchique de gestion des utilisateurs. Les trois niveaux hiérarchiques sont le niveau national, le niveau régional et le niveau établissement. Une personne identifiée dans le système devient un utilisateur du système. L'ensemble des fonctionnalités offertes a été découpé en rôles ; un utilisateur donné peut avoir un ou plusieurs rôles selon le modèle suivant :

• le rôle d'« administrateur » autorise la création des comptes clients et l'attribution des rôles au sein du système. Afin d'initier le dispositif, le premier « administrateur » de chaque niveau est identifié dans le système par le niveau hiérarchique supérieur. Cet « administrateur » particulier se nomme « l'administrateur principal ». Il est le seul à pouvoir attribuer le rôle d'« administrateur » à un utilisateur. A chaque niveau on peut avoir un ou plusieurs « administrateurs », mais il n'y aura qu'un seul « administrateur principal » ;
• le rôle de « gestionnaire de fichier PMSI » ou GFP permet à un utilisateur de transmettre les fichiers du PMSI et de lancer les traitements MAT2A. Il permet également à cet utilisateur de visualiser les résultats. Ce rôle n'existe qu'au niveau établissement. Il peut y avoir un ou plusieurs GFP au sein de chaque établissement ;
• le rôle de « valideur établissement » permet à un utilisateur de l'établissement de rendre visibles les résultats des traitements des fichiers transmis par le niveau régional. Ce rôle ne peut être attribué qu'à un utilisateur ayant déjà un droit de regard sur les résultats, c'est-à-dire un GFP ou un lecteur. La validation des résultats des traitements doit faire l'objet d'une procédure de contrôle interne ratifiée par le représentant légal de l'établissement. Il ne peut y avoir qu'un seul valideur au niveau de l'établissement ;
• le rôle de « tutelle régionale » permet à un utilisateur du niveau régional de sceller (valider) l'envoi des données PMSI, ainsi que les résultats des traitements. Ce rôle autorise également la « dévalidation », dans le cas où un problème sur les traitements ou sur les fichiers transmis survient après la validation ;
• le rôle de « lecteur » permet à un utilisateur de visualiser les résultats des traitements de l'établissement. Ce rôle existe au niveau établissement et au niveau régional, niveau pour lequel il a accès, en lecture, aux résultats de tous les établissements de la région.

Au niveau national, les utilisateurs du système sont choisis sous la responsabilité du directeur de l'ATIH, le directeur de l'ARH ayant la responsabilité du choix des utilisateurs régionaux. En ce qui concerne les établissements, l'attribution des rôles est de la responsabilité du représentant légal de l'établissement.
Le rôle de « gestionnaire de fichier PMSI » est attribué par les utilisateurs ayant le rôle « administrateur ». L'attribution de ce rôle doit être validé par le représentant légal de l'établissement après avis :

• du président de la commission médicale, pour les établissements sous dotation globale et du responsable du département d'information médicale ;
• du responsable du département d'information médicale pour les établissements sous OQN.

Conformément au statut des données PMSI, le (les) gestionnaire(s) de fichiers PMSI est (sont) désigné(s) au sein du département d'information médicale.
Une description technique plus détaillée de ce système d'identification figure dans les annexes à la présente circulaire. Une fois les utilisateurs inscrits et les rôles attribués, le dispositif fonctionne de la manière suivante :

• un GFP de l'établissement se connecte à la plate-forme e-PMSI par un navigateur Internet (exemple Internet Explorer ou Netscape) ; le protocole HTTPS, protocole Internet standard et sécurisé, sécurise les transmissions ;
• après s'être identifié, le GFP accède à une page qui lui permet de choisir le ou les fichiers à transmettre et de réaliser l'envoi. Les fichiers sont réceptionnés par un serveur centralisé sur lequel ils sont contrôlés. Un accusé de réception, rendant compte du résultat de la transmission, est envoyé aux transmetteurs en retour ;
• ce GFP peut, ensuite, programmer le traitement des données transmises, opération effectuée par le serveur central. Un courrier électronique informe le GFP de la réalisation du traitement ;
• les résultats de ces traitements sont alors consultables uniquement par le GFP et par les lecteurs de l'établissement ;
• le « valideur » peut, s'il le décide, valider ces traitements ;
• après la validation des résultats par l'établissement, les « lecteurs » et les « tutelles » du niveau régional peuvent les consulter et les valider (les « tutelles » seulement) en tant que de besoin.

Le système e-PMSI est opérationnel depuis le 15 avril pour les ouvertures de compte.
Pour tous renseignements complémentaires, l'équipe de l'ATIH et celle des ARH sont à votre disposition soit directement par courrier électronique, soit par l'intermédiaire du site web de l'agence : http ://www.atih.sante.fr.

Le directeur de l'hospitalisation
et de l'organisation des soins,
E. Couty

ANNEXE I
NIVEAU NATIONAL

L'attribution et la gestion des rôles du niveau national se font sous l'autorité du directeur de l'ATIH.

Administration nationale

Les administrateurs nationaux gèrent les administrateurs principaux des régions. Chaque région a un et un seul administrateur principal qui gère les utilisateurs à l'intérieur de sa région de façon autonome. Ainsi à partir du niveau national, les administrateurs ne voient qu'un seul responsable par région et n'ont affaire qu'à celui-ci, qui est l'administrateur principal de la région. Les administrateurs nationaux sont gérés, eux-mêmes, par un administrateur particulier, qui est l'administrateur national principal. Il a la charge de créer, modifier ou supprimer des administrateurs nationaux. L'administrateur national principal est aussi un administrateur national et peut gérer les administrateurs principaux des régions.

Figure 1
Fonctions de l'administrateur national principal

Les administrateurs nationaux gèrent, comme on l'a dit plus haut, chaque administrateur régional principal. L'administrateur régional principal possède par défaut les deux statuts DGF et OQN, et les quatre champs MCO, SSR, psychiatrie et urgences.

Figure 2
Fonctions de l'administrateur national
ANNEXE II
NIVEAU RÉGIONAL

L'attribution et la gestion des rôles se font sous l'autorité du directeur de l'agence régionale de l'hospitalisation.

Administrateur régional principal

L'administrateur régional principal est le seul à pouvoir gérer les administrateurs régionaux, et donc à pouvoir donner ou enlever les droits d'accès correspondant au rôle d'administrateur aux autres utilisateurs régionaux.

Figure 3
Fonctions de l'administrateur régional principal
pour la gestion de ses accès
Figure 4
Fonctions de l'administrateur régional principal
(gestion des administrateurs régionaux non principaux)

Le schéma ci-dessus montre les actions qu'un administrateur régional principal peut effectuer sur le type de fonctions accessible par un administrateur régional. La figure ci-dessous montre les actions spécifiques au rôle de l'administrateur régional principal en ce qui concerne un utilisateur ayant le rôle de tutelle. Le rôle étant une notion logique, une même personne peut avoir des accès à la fois de type tutelle et de type administrateur. Dans le cas ci-dessous, il s'agit d'un utilisateur ayant le rôle de tutelle et qui n'a pas le rôle d'administrateur. Dans le cas où l'administrateur principal lui attribue le rôle d'administrateur régional, il pourra effectuer les actions décrites dans le schéma précédent (ci-dessus).

Figure 5
Fonctions de l'administrateur régional principal
(gestion des tutelles et des lecteurs)

Un administrateur régional principal est aussi un administrateur régional et peut en assurer toutes les fonctionnalités.

Administrateur régional

Au niveau régional, l'administrateur est responsable de la gestion des tutelles et des lecteurs, ou plus exactement de l'attribution de ces rôles. Un administrateur régional peut avoir la responsabilité de l'un ou des deux statuts DGF et OQN, ainsi que des champs PMSI MCO, SSR, Psy et Urgences, selon la volonté de l'administrateur régional principal. Ainsi, celui-ci peut, au moment de la création d'un administrateur, choisir de retenir un ou plusieurs statuts DGF, MCO et SSR pour lui donner une responsabilité limitée, par exemple, aux champs MCO et SSR de statut DGF.

Figure 6
Administrateur régional se gérant lui-même
Figure 7
Fonctions de l'administrateur régional
(gestion des utilisateurs régionaux)

Le rôle de lecteur est automatiquement donné à un utilisateur qui dispose déjà des droits liés à d'autres rôles. Lors de la création d'un nouvel utilisateur régional, ou de la modification de ses droits en ce qui concerne le statut et les champs du PMSI, l'administrateur ne pourra agir que sur les champs et les statuts pour lesquels il a des droits d'accès. Par exemple dans le cas de l'administrateur décrit plus haut, celui-ci ne peut modifier que les champs « statut DGF », MCO et SSR en les cochant (autorisant) ou en les décochant (enlevant).

Figure 8
Fonctions de l'administrateur régional
(gestion des lecteurs régionaux)

Le diagramme ci-dessus montre les fonctions d'un administrateur régional en ce qui concerne la gestion d'un lecteur. Un lecteur est un utilisateur qui a seulement accès aux résultats des traitements.
Les administrateurs régionaux gèrent, sous la responsabilité du directeur de l'ARH, après avis des représentants légaux des établissements, également les administrateurs principaux des établissements de leur région. Chaque établissement est représenté par un administrateur principal unique par établissement. Seul cet administrateur principal est visible et gérable depuis le niveau régional.

Figure 9
Fonctions de l'administrateur régional relatives
à la gestion des administrateurs principaux des établissements

Un administrateur d'établissement principal possède par défaut le statut et tous les champs PMSI de son établissement. Une entité juridique ne peut pas avoir à la fois le statut DGF et le statut OQN, mais peut être définie sur plusieurs champs PMSI.

Tutelle

Le rôle de tutelle est lié à l'aspect applicatif et ses fonctionnalités dépendront du champ et de l'application concernés. Il ne possède aucune fonction de gestion. Ce rôle permet de consulter les résultats des traitements des établissements de la région et de les valider.

Lecteur (niveau régional)

Un lecteur est un utilisateur qui a seulement accès aux résultats des traitements ; il n'a aucun rôle en matière de gestion des droits d'accès.

ANNEXE III
NIVEAU ÉTABLISSEMENT

L'attribution et la gestion des rôles relèvent de l'autorité du représentant légal de l'établissement. Le rôle de « gestionnaire de fichier PMSI » est attribué par les utilisateurs ayant le rôle « administrateur ». L'attribution de ce rôle doit être validé par le représentant légal de l'établissement après avis :

• du responsable du département d'information médicale et du président de la commission médicale, pour les établissements sous dotation globale ;
• du responsable du département d'information médicale pour les établissements sous OQN.

Conformément au statut des données PMSI, le (les) gestionnaire(s) de fichiers PMSI est (sont) désigné(s) au sein du département d'information médicale.

Administrateur principal d'établissement

Les taches spécifiques d'un administrateur principal d'établissement sont relatives à la gestion des administrateurs de l'établissement. Un administrateur principal peut avoir un ou plusieurs rôles.
Un administrateur principal d'établissement peut autoriser l'accès à tout ou partie des champs du PMSI de son établissement à un administrateur. Il peut également lui donner le rôle de GFP.
Les diagrammes ci-dessous montrent les fonctions réservées à l'administrateur principal d'établissement. Celui-ci est également administrateur d'établissement et dispose de toutes les fonctionnalités y afférentes.

Figure 10
Fonctions de l'administrateur principal d'établissement
(gestion des administrateurs d'établissement)
Figure 11
Cas d'utilisation de l'administrateur principal d'établissement
(gestion des GFP et des lecteurs)
Seul l'administrateur principal peut créer et gérer le rôle de valideur.
Figure 12
Fonctions relatives à la gestion du rôle de valideur par l'APE
Figure 13
Fonctions d'un administrateur principal d'établissement
pour la gestion de ses accès

L'administrateur principal de l'établissement peut créer et gérer les droits relatifs au rôle de GFP et de lecteur pour lui-même, lorsqu'il a été nommé à ces rôles. Il peut également modifier ses coordonnées et son mot de passe.

Administrateur d'établissement

Un administrateur d'établissement peut gérer le rôle de GFP et de lecteur. Il peut créer de nouveaux GFP ou de nouveaux lecteurs, ou modifier ou supprimer les GFP et les lecteurs existants.

Figure 14
Administrateur d'établissement se gérant lui-même
Figure 15
Fonctions de l'administrateur d'établissement
relatives à la gestion des GFP

L'« administrateur » de l'établissement ne peut pas créer d'utilisateur valideur, ni gérer leurs droits.
Un GFP a tous les droits relatifs au rôle de lecteur, il est donc inutile de lui attribuer ce rôle.
La modification des champs PMSI d'un GFP dépend des droits de l'administrateur lui-même. L'administrateur ne peut agir que sur les champs pour lesquels il a des droits d'accès (il peut également attribuer le rôle de GFP ou de lecteur aux utilisateurs).